Cloudové služby jsou zneužívány k šíření malwaru

5. 8. 2013

Sdílet

 Autor: © piumadaquila.com - Fotolia.com
Je hlášen výrazný nárůst případů, kdy autoři malwaru využívají služby jako Google Code jako distribučního kanálu.

Až dosud bylo obvyklé, že programátoři škodlivých programů své „produkty“ šířili z vlastních webů. Nyní je ale pozorován jejich masový přechod na komerční hostovací služby a cloudové služby, přinejmenším podle vystoupení bezpečnostních výzkumníků na konferenci Black Hat, která proběhla minulý týden.

Je to zřejmě způsobeno tím, jak se bezpečnostní řešení stále lépe dokáží vyrovnat s nebezpečnými servery. Ať u jejich detekcí či následným využíváním blacklistů, seznamů jednoznačně identifikovaných nebezpečných adres. Využívání komerčních serverů, jejichž adresy nelze jednoduše zakázat, není trend nový, je pozorováno víc než dva roky, ale podle bezpečnostních specialistů nyní prudce roste.

Nejčastěji vlastníci serverů nedokáží správně kontrolovat obsah, který poskytují. Jak říká Michael Sutton, viceprezident pro výzkum společnosti ZScaler, která nabízí bezpečnostní cloudové služby pro korporace: „Umístit na takové servery škodlivý kód je potom relativně snadné.“

U závadného obsahu šířeného z běžné komerční adresy je podstatně pravděpodobnější, že projde tradičními korporátními zabezpečeními. Výrobci také jen těžko budou na blacklist umisťovat legitimní hostovací společnosti, což současně vede k tomu, že škodlivý obsah na nich zůstává o to déle.

Sutton uvedl příklady z nedávné minulosti, kdy útočníci nahráli a distribuovali škodlivý kód pomocí služeb DropBox a Google Code. Na blogu firmy ZScaler je seznam téměř čtyřiceti závadných souborů hostovaných na webu Google Code, který jinak primárně nabízí nástroje pro softwarové vývojáře. Příklady nekorektních souborů na DropBoxu již neplatí a podle blogu již byly zřejmě odstraněny.

„Zpráva pro správce IT je jasná – nevěřte slepě doménám, které se zdají být bezpečné. Útočníci dnes sázejí na hostovací služby. Kdysi používali vlastní servery. Později infikovali obsah legitimních společností. Dnes využívají hostovacích společností. Za hostování malwaru již nemusí platit a mnohem méně jim hrozí zařazení do blacklistu.“

Ke stejným závěrům dochází i Firehost, provozovatel cloudových hostovacích služeb pro korporace. Podle jeho kvartální bezpečnostní analýzy výrazně vzrostl počet útoků typu SQL injection, directory traversal attacks a dalších, které přicházejí zevnitř sítí cloudových provozovatelů. Ti často nedostatečně prověřují nové zákazníky, což umožňuje vytvářet účty na základě falešných identit. Ty jsou potom často zneužívaný k spouštění a správě mohutných botnetů, které běží na cloudové infrastruktuře.

Firehost uvádí, že v druhém čtvrtletí roku 2013 filtrovací systém IP adres, který chrání jeho zákazníky, zablokoval přibližně 1,2 milionů jednotlivých útoků (do tohoto údaje nejsou započítány opakování téhož útoku). A z nich značná část pocházela právě z různých cloudových služeb.